iptables四个表与五个链间的处理关系

最新推荐文章于 2024-02-24 22:11:23 发布
转载 最新推荐文章于 2024-02-24 22:11:23 发布 · 1.9k 阅读 · 1

本文详细介绍了netfilter/iptables IP信息包过滤系统的构成、工作原理及核心概念,包括表、链、规则及其作用。通过解析不同表(如filter、nat、mangle、raw)和链(如PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING)的功能,阐述了如何使用iptables命令插入、修改和删除规则,以实现灵活的数据包过滤和控制。

netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。

虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件 netfilter 和 iptables 组成。

netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。

iptables包含4个表,5个链。其中表是按照对数据包的操作区分的,链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度。

4个表:filter,nat,mangle,raw,默认表是filter(没有指定表的时候就是filter表)。表的处理优先级:raw>mangle>nat>filter。

filter:一般的过滤功能

nat:用于nat功能(端口映射,地址映射等)

mangle:用于对特定数据包的修改

raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能

5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。

PREROUTING:数据包进入路由表之前

INPUT:通过路由表后目的地为本机

FORWARDING:通过路由表后,目的地不为本机

OUTPUT:由本机产生,向外转发

POSTROUTIONG:发送到网卡接口之前。如下图:

 

Linux防火墙iptables的三表五链的关系

iptables中表和链的对应关系如下:

 

iptables规则

规则--顾名思义就是规矩和原则,和现实生活中的事情是一样的,国有国法,家有家规,所以要遵纪守法的嘛。当然在防火墙上的规则,在内核看来,规则就是决定如何处理一个包的语句。如果一个包符合所有的条件,我们就用相应的处理动作来处理。书写规则的语法格式为:

iptables [-t table] command  chains [creteria]  -j  action

-t table就是表名,filter/nat/mangle三个表中的一个,默认是filter表

command告诉程序如何做,比如:插入一个规则,还是删除等

chains 链,有五个,PREROUTING  POSTROUTING INPUT OUTPUT FORWARD

action 处理动作,有ACCEPT  DENY DROP REJECT  SNAT  DNAT

理一下思路


 

下面一点点的说

一、Tables

选项-t用来指定用哪个表,它可以是下面的任何一个,默认的是filter表

 

 

本篇文章来源于 Linux公社网站(www.linuxidc.com)  原文链接:http://www.linuxidc.com/Linux/2012-08/67505.htm

本篇文章来源于 Linux公社网站(www.linuxidc.com)  原文链接:http://www.linuxidc.com/Linux/2012-08/67952.htm

iptables
weixin_34417814的博客
09-26 732
一、什么是iptables   iptables是Linux的防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作   Netfilter模块:   它是主要的工作模块,位于内核中,在网络层的五个位置(也就是防火墙四中的五)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各个...
Linux iptables:四 + 实用配置
最新发布
2402_83576389的博客
10-23 854
本文介绍了Linux系统中iptables防火墙的安装、配置和使用方法。主要内容包括:1) iptables的安装启动;2) 四关系及功能说明;3) 基本语法和常用选项详解;4) 规则查看方法;5) 五个实用配置实例,包括拒绝特定IP访问、ICMP控制、多地址/端口设置、SNAT/DNAT转换和规则持久化保存。通过具体命令示例,展示了如何实现常见的防火墙功能,如端口控制、地址转换和规则永久保存等。文章提供了详细的参数说明和操作演示,适合系统管理员参考使用iptables进行网络安全管理。
iptables基础——
meltsnow的博客
03-12 930
1.防火墙相关概念 此处先描述一些相关概念。 1)从逻辑上讲,防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙主内(个人)。 2)从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。 硬件防火墙:...
iptables关系
weixin_33743248的博客
05-27 217
下图展式了iptables关系(tables)(chains)INPUTFORWARDOUTPUTPREROUTINGPOSTROUTINGFilter有有有无无Nat无无有有有Mangle有有有有有 转载于:https://blog.51cto.com/zhangjie/1211311...
Linux iptables和五相关规则说明
李姓门徒
02-24 1355
在k8s环境中经常使用iptables规则进行负载均衡、路由转发和NAT等操作,本文针对iptables的实现原理和相关常用方法进行整理和讨论。
Linux--firewalld防火墙基础(firewalld和iptables关系,四,netfilteriptables关系iptables语法参数,firewalld网络区域)
CN_TangZheng的博客
12-09 1082
Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙) - Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,因此得到广泛的应用
防火墙iptables
weixin_46528626的博客
04-23 6809
什么是防火墙? 在计算机中,防火墙是基于安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点; **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当然硬件防火墙也
Linux--firewalld防火墙基础(firewalld和iptables关系,四,netfilteriptables关系iptables语法参数,firewalld网络区域)
CN_ChenJian
08-03 1190
文章目录前言一、Firewalld,iptables概述1.1、Firewalld二、Firewalld和iptables关系2.1:netfilter2.2:Firewalld/iptables2.3:netfilter和Firewalld,iptables关系2.4:Firewalld和iptables的区别2:5:CentOS 6 和CentOS 7 防火墙的区别 前言 防火墙是现代网络安全防护技术中的重要构成内容,可以有效地防护外部的侵扰影响。随着网络技术手段 防火墙技术 防火墙技术的完善,防火
iptables的四
xfun的博客
09-10 802
1)iptables4(区分大小写): iptables默认有4,nat(地址转换)、filter(数据过滤)、raw(状态跟踪)、mangle(包标记)。 2)iptables5(区分大小写): INPUT(入站规则) OUTPUT(出站规则) FORWARD(转发规则) PREROUTING(路有前规则) POSTROUTING(路由后规...
iptables里的四
jin861625788的专栏
09-02 954
iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。      iptables包含45。其中是按照对数据包的操作区分的,是按照不同的Hook点来区分的,实际上是netfilter的两个维度。      4:filter,nat,mangle,raw,默
iptables:四
wangboyujiayou的博客
04-09 143
: raw(生的):有限级最高,设置raw时一般是为了不再让iptables做数据包的接跟踪处理,提高性能 mangle(碾压):用于对特定数据包的修改 nat(转换):用于nat功能(端口映射,地址映射等) filter(过滤):一般的过滤功能 五: PREROUTING(预路由):数据包进入路由之前 INPUT(入站):通过路由后目的地为本机 FORWARD(转发):通过路由...
Iptables之四
Jack_chao_的博客
07-20 2413
iptables只是防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。iptables具体是如何去过滤各种规则的呢?请看下面的四正常的访问流程图。
iptables之四
热门推荐
Dwavelet的博客
06-11 3万+
ps: iptables只是Linux防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。 四概念 filter——过滤数据包 Nat——用于网络地址转换(IP、端口) Mangle——修改数据包的服务类型、TTL、并且可以配置路由实现QOS Raw——决定数据包是否被状态跟踪机制处理 INPUT——进来的数据包应用此规则中的策略 OUTPUT——外出的数据包应用此规则中的策略 FORWARD——转发数据包时应.
iptables 防火墙简介 四五列概念
Q274948451的博客
10-24 1100
防火墙分为硬件防火墙和软件防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于软件实现,性能高,成本高。 软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低。 iptables概念 四: filter:负责过滤功能,防火墙;内核模块:iptables_filter nat:network address translation,网络地址转换功能;内核模块:iptable_nat mangle:拆解报文,做出修改,并重新封装 的
iptables防火墙(四
m0_74848517的博客
02-05 1581
mangle =>PREROUTING POSTROUTING INPUT OUTPUT FORWARD。转发:PREROUTING===>FORWARD===>POSTROUTING。IP范围匹配:-m iprange --src-range IP范围。多端口匹配:-m multiport --sports 源端口列。MAC地址匹配:-m mac --mac-source MAC地址。状态匹配:-m state --state 连接状态。
linux防火墙四
08-01
Linux防火墙中的“四”是iptables防火墙体系的核心结构,主要负责对网络数据包进行过滤、地址转换、报文修改等操作。以下是对“四”的详细解析。 ### 四 iptables防火墙中定义了四个主要的,每个负责不同的功能,分别对应不同的内核模块: - **filter**:用于数据包的过滤,决定数据包是否被允许通过。主要功能包括ACCEPT、DROP、REJECT等。该的内核模块为`iptables_filter`。 - **nat**:用于网络地址转换(NAT),包括源地址转换(SNAT)和目标地址转换(DNAT)。主要功能包括PREROUTING、POSTROUTING和OUTPUT中的地址转换操作。该的内核模块为`iptable_nat`。 - **mangle**:用于修改数据包的头部信息,如TTL、TOS等字段,也可以进行自定义标记。该的内核模块为`iptable_mangle`。 - **raw**:用于关闭或启用连接追踪机制(connection tracking)。通常用于在某些特定情况下避免不必要的连接追踪开销。该的内核模块为`iptable_raw`。 ### 五iptables中,数据包在网络协议栈中经过五个关键位置,这些位置被称为“”(Chains),也称为钩子(Hooks)。每个对应不同的数据包处理阶段: - **PREROUTING**:数据包进入路由决策之前,适用于nat(DNAT)和mangle。 - **INPUT**:数据包进入本地系统之前,适用于filter(过滤)和mangle。 - **FORWARD**:数据包通过系统进行转发时触发,适用于filter和mangle。 - **OUTPUT**:本地系统发出的数据包在离开系统前触发,适用于nat(SNAT)、filter和mangle。 - **POSTROUTING**:数据包离开系统之前,适用于nat(SNAT)和mangle。 ### 的关联 不同的在不同的上生效,具体关系如下: | | 位置(Hook) | |----------|-----------------------------------| | raw | PREROUTING, OUTPUT | | mangle | PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING | | nat | PREROUTING, OUTPUT, POSTROUTING(CentOS 7中还包括INPUT) | | filter | INPUT, FORWARD, OUTPUT | ### 数据包处理流程 数据包在网络栈中的处理流程如下: 1. **PREROUTING**:处理数据包的DNAT和报文修改(mangle)。 2. **路由决策**:判断数据包是发往本地还是需要转发。 3. **INPUT**:如果是发往本地的数据包,进入INPUT进行过滤(filter)。 4. **OUTPUT**:如果是本地发出的数据包,在离开系统前经过OUTPUT进行NAT、过滤和报文修改。 5. **FORWARD**:如果是转发的数据包,进入FORWARD进行过滤。 6. **POSTROUTING**:在数据包离开系统前进行SNAT和报文修改。 ### 示例规则 以下是一个简单的iptables规则示例,用于允许本地系统的SSH连接: ```bash iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` 此规则将添加到filter的INPUT中,允许目标端口为22(SSH)的TCP数据包通过。 ### 注意事项 - **清除规则**:可以使用`iptables -F`清除所有规则,但不会更改默认策略。 - **自定义**:用户可以创建自定义来组织规则,使用`iptables -N`创建新。 - **计数器重置**:使用`iptables -Z`将所有的计数器归零,便于统计流量。 通过上述结构,Linux防火墙能够灵活地控制数据包的流动,确保系统的网络安全性和可控性。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值